Safety Concept (Error reaction)이 LFM에 미치는 영향

The GSEG (Global Safety Experts Group)입니다.

 

Safety Concept 특히 error reaction이 HW metric 중 하나인 LFM에 미치는 영향에 대해 설명드리고자 합니다.

 

이 부분은 Safety Concept의 중요성을 다시금 상기시켜 줄 수 있으며, FMEDA를 분석하는 담당자들이 가장 많이 실수하는 부분 중 하나이기에 반드시 올바로 이해하고 넘어가야 합니다.

 

Safety Concept (Error reaction)이 LFM에 미치는 영향

 

위는 HW failure 모니터링에서부터 error reaction으로 safe path를 활성화하는 safety concept을 간략화한 것인데, 이 safety concept에서 error reaction을 어떻게 설계하느냐에 따라 HW metric - LFM (Latent Fault Metric) 결과가 영향을 받을 수 있습니다.

 

즉,  error reaction시 제공되는 기능에 따라 관련된 HW failure mode의 latent fault에 대한 FMC (Failure Mode Coverage)는 다르게 책정될 수밖에 없고 이는 곧 LFM에 영향을 주게 되는데, 연관된 3 종류의 시나리오는 아래와 같습니다 (아래 그림의 'λMPF_L' 참조).

 

Safety Concept (Error reaction)이 LFM에 미치는 영향

 

 

1) Error reaction으로 safe path 활성화 및 운전자에게 시각적으로 관련 경고등 또는 메세지를 제공

가장 이상적인 케이스로 HW failure mode 'A'가 검출된 후 의도된 대로 safe path가 활성화되고 관련 오류 메시지가 상위 레벨 혹은 Vehicle computer display를 담당하는 ECU에게 전달되어집니다.

 

그리고 상위 레벨 또는 Vehicle computer display를 담당하는 ECU는 관련 메시지를 운전자에게 시각적 또는 음성적으로 전달 (예: 경고등 점등) 되어집니다.

(참고로,  이를 소위 bottom-up 요구사항이라 부르며, error reaction을 제공하는 개발 업체에서 고객에게 문서로 전달되어야 하고관련 요구사항의 전달 방식이나 검증의 주체 등의 사항은 DIA 'Development Interface Agreement'를 논의 및 합의되어야 함.)

 

따라서 HW failure mode 'A'의 발생 유무를 운전자가 직관적으로 인지할 수 있고 SM 자체에 오류가 발생하기 전 관련 조치 (예: 차량 점검)를 받을 것이 예상되기에 HW failure mode 'A'의 laten fault에 대하여 latent fault에 대하여 FMC 100%를 주장할 수 있습니다.

 

2) Error reaction으로 safe path 활성화만을 제공

Error reaction의 일환으로 safe path만을 활성화한다면, HW failure mode 'A'를 검출하였다 하더라도 운전자가 이를 인지할 수 없고 관련 대처를 할 수 없기에 해당 latent fault에 대한 FMC는 '0%'라 할 수 있습니다.

 

특정한 경우에는 HW의 제약사항으로 HW failure mode의 모니터링 및 수정은 가능하나 error reaction이 불가능한 경우도 있는데, 일례로 ECC를 통해 memory fault 검출과 같은 경우가 있습니다.

 

ECC (Error Correction Code)는 데이터 이동 간 발생할 수 있는 1bit 오류를 검출할 수 있고 이를 자동으로 오류 발생 전 값으로 변경할 수 있어 HW 측면에서는 특별한 reaction을 제공하지 않는 케이스가 많습니다.

 

따라서 이러한 경우에는 HW failure mode 'A'의 발생 여부를 운전자가 인지할 수 없고 이후 관련 SM에 오류가 발생하는 경우 safety goal에 부정적인 영향을 미치게 됩니다.

 

만약 적용하는 메모리 사이즈가 작은 경우에는 latent fault에 대한 FMC 0%가 LFM에 큰 영향을 미치지 않을 수 있으나, 메모리 사용이 상대적으로 많은 Autonomous driving 관련 ECU (ADAS 또는 AD ECU)의 경우에는 이를 간과할 수 없습니다.

 

이에 관련 Safety Concept에서 이러한 요구사항을 명확히 하고 이를 토대로 HW component 선택 시 해당 요구사항이 고려되어야 합니다 (예: ECC 검출에 대한 정보를 특정 register에 메모리 address와 함께 제공). 

 

3) Error  reaction으로 degration 된 기능을 제공하며 추후 최종 safe path 활성화만을 제공

Error reaction으로 e.g. limp-home 기능을 제공한다면 HW failure mode 'A' 검출 시, 기능의 저하를 통해 운전자가 이를 인지할 수 있으나 latent fault에 대한 FMC는 제한적일 수밖에 없으며, 몇 퍼센트의 FMC가 적정한지에 대한 명확한 근거는 ISO 26262에서 제공하고 있지 않습니다.

 

따라서 HW failure mode 'A'에 대한 LF FMC는 프로젝트나 회사 차원의 협의를 통해 결정되는 것이 바람직한데, The GSEG에서는 가장 보수적인 value인 60%가 적정하다고 판단하고 있습니다.

(보수적인 value를 취하는 것이 safety assessment 중 safety assessor에게 받아들여질 가능성이 높다고 판단).

 

 

위에 언급한 사항과 관련된 FMEDA의 부분은 아래의 포스팅에서 설명드리도록 하겠습니다.